rubynjoroge/cloud-governance-baseline
GitHub: rubynjoroge/cloud-governance-baseline
一个实践性的云 GRC 工程项目,通过 Terraform、策略即代码和 CI/CD 流水线将云合规要求转化为自动化的基础设施安全控制与审计就绪证据。
Stars: 0 | Forks: 0
# 云治理基线
一个实践性的 GRC 工程项目,将云控制要求转化为安全的基础设施、自动化的策略检查、持续验证以及可审计的就绪证据。
## 实践者背景
本项目由 Ruby Njoroge 开发,是更广泛的 GRC 工程作品集的一部分。它建立在 ISO 27001 和 PCI-DSS 审计就绪、控制修复、风险管理、证据协调、第三方评估、安全运营、安全的 SDLC 以及基于脚本的工作流自动化等方面的专业经验之上。
本实现具有教育性质,使用了合成数据和个人控制的测试环境。它不复制任何机密的雇主、客户、审计或课程材料。
## 问题陈述
云治理计划通常依赖于策略文档、手动配置审查、屏幕截图和定期评估。这些方法难以扩展,并且可能无法在基础设施部署之前检测到控制失效。
## 解决方案
本项目实现了一个小型的 AWS 治理基线,演示了 GRC 要求如何转化为工程控制。
该解决方案将:
- 使用 Terraform 配置选定的 AWS 资源
- 默认应用安全配置要求
- 使用 OPA/Rego 检测不合规的基础设施
- 测试允许和拒绝的配置
- 在 GitHub Actions 中执行检查
- 从验证运行中生成结构化证据
- 将技术检查映射到公认的控制框架
- 记录例外情况、限制和修复路径
## 初始控制范围
| 控制目标 | 预期实现 | 验证方法 | 证据 |
|---|---|---|---|
| 防止公共对象存储 | S3 公共访问块和限制性策略 | Rego 测试和 Terraform 检查 | 策略结果和计划输出 |
| 加密存储数据 | 默认的服务端加密 | Rego 测试和配置检查 | 策略结果和资源配置 |
| 保留恢复历史记录 | S3 版本控制 | Rego 测试 | 测试输出和 Terraform 计划 |
| 记录相关活动 | 日志记录和 CloudTrail 设计 | 配置测试 | 验证输出和样本证据记录 |
| 限制管理访问权限 | 最小权限 IAM 设计 | 策略和手动设计审查 | 策略结果和记录在案的审查 |
随着课程的进展,该范围将不断完善。
## 架构
```
Developer change
|
v
Terraform configuration
|
+--> terraform fmt and validate
|
+--> terraform plan
|
+--> OPA/Rego policy tests
|
+--> security and secret checks
|
v
GitHub Actions compliance decision
|
+--> Pass: evidence artifact generated
|
`--> Fail: deployment blocked with findings
```
有关不断演进的设计,请参阅 [ARCHITECTURE.md](docs/ARCHITECTURE.md)。
## 仓库结构
```
cloud-governance-baseline/
|-- README.md
|-- WALKTHROUGH.md
|-- ROADMAP.md
|-- SECURITY.md
|-- docs/
| |-- ARCHITECTURE.md
| |-- CONTROL_MAPPING.md
| |-- EVIDENCE_MODEL.md
| `-- RISK_REGISTER.md
|-- terraform/
| `-- modules/
|-- policies/
|-- tests/
|-- scripts/
|-- evidence/
| `-- samples/
`-- .github/
`-- workflows/
```
## 当前状态
状态:规划与架构
当前工作:
- 定义业务场景和系统边界
- 选择首批 AWS 资源
- 定义控制目标和测试条件
- 建立证据 schema
- 构建首个安全的 Terraform 模块
## 计划使用的技术
- AWS
- Terraform
- OPA/Rego
- Conftest
- GitHub Actions
- Python
- JSON 或 YAML 证据记录
## 控制框架
本项目将演示与以下各项选定要求的映射:
- NIST 网络安全框架
- NIST SP 800-53
- CIS Controls
- CIS AWS Foundations Benchmark
- ISO/IEC 27001
这些映射将作为工程解释呈现,而非声称获得认证或完全合规。
## 如何使用本仓库
本仓库目前是一个项目脚手架。当首个控制实现完成时,将添加可执行的设置和测试说明。
有关计划的演示流程,请参阅 [WALKTHROUGH.md](WALKTHROUGH.md);有关交付阶段,请参阅 [ROADMAP.md](ROADMAP.md)。
## 安全与数据处理
所有示例必须使用合成数据和个人控制的测试环境。请勿提交凭据、实时证据、客户信息或专有配置。
请参阅 [SECURITY.md](SECURITY.md)。
## 免责声明
本仓库是一个教育和专业作品集项目。它不提供法律建议,也不证明任何系统符合法规、标准或合同要求。
## 许可证
本项目根据 MIT License 授权。版权所有 (c) 2026 Ruby Njoroge。
标签:DevSecOps, ECS, GRC工程, OPA, Terraform, 上游代理, 云治理, 漏洞利用检测, 策略即代码, 聊天机器人安全, 逆向工具, 靶场